none
VPN RRS feed

  • Pregunta

  • Buen dia

    Quisiera ver si me pueden ayudar el cual presento el siguiente problema con mi servidor vpn, el cual no puedo conectar desde el cliente de casa, envió dos imágenes las cuales explico, en la imagen que dice VPN_Servidor, tengo habilitado el servicio de Enrutamiento y acceso remoto, desde mi cliente si le doy un ping a la ip externa la cual tiene configurada el servidor no me responde como lo muestro en la Imagen VPN_Cliente

    Si deshabilito el servicio como se muestra en la imagen: Vpn_Servidor_2 en el cliente si me da respuesta como se muestra en la imagen: Vpn_Cliente_2

    He tratado de solucionar este problema pero no lo encuentro, la dirección de ip externa que tiene el servidor la tengo dada de alta en el NO-IP

    Es espera de alguna respuesta /Solucion


    jueves, 7 de julio de 2016 16:05

Respuestas

  • Comienza por favor una nueva pregunta ya que en esta hemos solucionado el problema de la conexión VPN

    Para poder ayudarte anota el IPCONFIG /ALL en el cliente y en el servidor. Además indica que Puerta de Enlace tienen los servidores a los que no puedes conectarte

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 14 de julio de 2016 10:10
    Moderador

Todas las respuestas

  • Moví la pregunta al foro de infraestructura y redes, porque no tenía relación con Escritorio Remoto aunque hagas la conexión por ese motivo

    Primera pregunta: ¿funcionó antes? ¿o es la primera vez?

    Segunda pregunta: Veo que se trata de una máquina virtual el servidor VPN así que van más preguntas sobre esto:

    - ¿Cuántas interfaces de red tiene la virtual?
    - ¿Qué sistema de virtualización haz usado?
    - ¿A qué tipo red está conectada cada interfaz de red de la virtual?

    Tercera pregunta: ¿no hay un Router entre el servidor e Internet?

    Quedan más preguntas, pero por ahora responde por favor las anteriores para que se pueda ver dónde está el problema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de julio de 2016 18:34
    Moderador
  • Primer Pregunta : Si funcionaba anteriormente y tengo dos la interna y la externa

    Segunda pregunta: windows server 2012

    Tercer Pregunta: no hay router

    jueves, 7 de julio de 2016 18:36
  • Buena tarde Guillermo

    Te amplio mas las preguntas

    1. Anteriormente si funcionaba la conexión que realizaba desde la casa tengo mas de un año utilizando, pero últimamente me di cuenta que dejo de funcionar o en ocasiones solo conectaba pero no me dejaba conectar a los servidores, y de repente dejo de funcionar

    2. El servidor virtual tiene dos interfaz una interna con dirección ip interna y la otra interfaz externa con dirección ip de alestra

    2.1 El sistema operativo físico es 2012 datacenter y el virtual es igual 2012 datacenter

    3. No hay router de ningún tipo la interfaz que utilizo en alestra esta directamente, motivo por el cual también en mis servidores exchange tengo dos interfaz para el enlace de alestra y Telmex, directamente

    En espera de alguna comentario

    José Luis Ríos

    jueves, 7 de julio de 2016 19:39
  • Hola José, ya vamos aclarando entonces :)

    Si andaba, y dejó de funcionar, entonces la pregunta principal es ¿qué se hizo/cambió justo después que dejara de funcionar? tanto en el cliente como en el servidor

    En el primer mensaje las dos capturas de pantalla son iguales, y sólo muestra que el servicio en el servidor está funcionando. No hay nada de cliente

    Es importante que pongas exacta y textualmente cuál es el mensaje de error que te da en el cliente al no poder conectarte porque eso permite comenzar a ver por dónde puede venir el problema

    Retomando lo comentado en la pregunta original. Que no responda al PING es totalmente normal y como debe ser, tanto porque el cortafuegos lo prohibe, como también los filtros que pone VPN, y por si fuera poco por seguridad

    El filtrado que pone el servicio VPN al configurarlo es permitir únicamente los protocolos necesarios para VPN. Si deshabilitas el servicio y se puede hacer PING cuidado que ahí el cortafuegos no está como debería y te estás exponiendo a grandes riesgos

    Algo a tener en cuenta ¿hay instalado algún antivirus? porque actualmente es muy común que incluyan funciones de cortafuegos (nunca hay que tener dos) y eso puede estar produciendo problemas, tanto si hay uno de terceros como si hay dos

    La pregunta que no me haz contestado es por el sistema de virtualización, porque si en vez de Hyper-V usaras VMware había posibilidad de que estuvieras usando red de tipo NAT y eso causa el problema

    Revisa el siguiente enlace a ver si está configurado así: Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer:
    https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/

      


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 12 de julio de 2016 14:29
    jueves, 7 de julio de 2016 22:11
    Moderador
  • Buen día Guillermo

    El motivo de que estoy utilizando hyper-v es por la empresa en cuestiones económicas decidió usar esta herramienta, hace 4 años que yo entre aquí ya estaban utilizando esta plataforma con windows server 2008 R, se realizo hace 3 años a la migración de físico y virtuales a 2012 datacenter ese es el motivo (cada 3 años se renueva el arrendamiento de servidores físicos)

    en cuestión a la vpn pues no se realizo ningún cambio mas que lo habitual que es su mantenimiento y actualizaciones pero hasta que empecé a tener el problema de que en vez en cuanto realizaba la conexión pero no me dejaba conectar a ningún servidor (error, que el servidor no se encontraba en red o que no tenia permiso para realizar conexión escritorio remoto), últimamente los errores mas comunes son los errores 800, 876

    el día de ayer ya realizo la conexión pero no me permite ingresar a ningún servidor haciendo mención que la ip o nombre de host no están disponibles en red o si se tienen los permisos para realizar conexiones remotas

    Ahorita me esta enviando este error

    En cuestión al enlace que me haces envió, efectivamente esos son los pasos que realice para configurar el servidor vpn y otras cosas ese link me es muy útil he logrado corregir varias cosas

    Atte.

    José Luis Ríos

    viernes, 8 de julio de 2016 14:42
  • Hola José Luis Ríos, hagamos algunas pruebas

    En el servidor desde un CMD ejecutado como administrador ejecuta "NETSTAT -ano" (modificadores sensibles a mayúsculas minúsculas). Debería estar el puerto TCP-1723 (PPTT) en "Listening" (escucha). Con esto sabremos si el servicio está esperando una conexión

    Si tienes instalado en el cliente, que por omisión no está, prueba hacer un TELNET al puerto TCP-1723 del servidor. Si te puedes conectar no recibirás nada, cualquier otro mensaje que dé, por favor anótalo por acá

    Si el servicio estuviera en escucha, entonces me orientaría a problemas de conectividad de Internet, dado el mensaje de error que da en el cliente. Trataría de hacer un "PING -t <DirIPServidor>" dejarlo unos minutos y ver si todos los PING tienen respuesta, y los "Time" no son altos

    Para esto último hay que permitir, en el cortafuegos y en los filtros del servidor VPN, el protocolo ICMP opción "Echo Replay". No es bueno tener esto así, pero serán sólo muy poco tiempo para ver la respuesta del PING

    ¿Se ha cambiado anterioremente alguno de los filtros en la consola de RRAS? ¿alguien ha andado por ahí" :) Están en las propiedades de las interfaces

    Tratemos de ver primero que la VPN se conecte, luego se puede ver el tema del acceso a los servidores internos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 12 de julio de 2016 14:29
    viernes, 8 de julio de 2016 18:20
    Moderador
  • Buena tarde Guillermo

    Te envio en pantalla lo que me indicas, en cuestión a filtros no se ha movido nada ni dado de alta, puede que alguien se haya introducido al servidor y movido pero bueno la idea es solucionar el problema

    viernes, 8 de julio de 2016 20:57
  • Guillermo

    Tuve que dar de alta el icm, y realizo la conexión pero no puedo conectar a los servidores ni por nombre, ni por ip envio las pantallas

    viernes, 8 de julio de 2016 21:15
  • Por las capturas de pantalla se puede ver que el servidor VPN está escuchando correctamente, tanto por el NETSTAT como por el Telnet

    De todas formas esto no tiene relación con ICMP, éste es para que responda el PING, y ver que no hubiera problemas de conectividad IP. No dejes ICMP permitido

    Para ver el tema de no poder acceder a los servidores internos una vez que se ha hecho la conexión desde el cliente habría que revisar configuración IP

    En uno de los servidores internos a los que no puedes conectarte ejecuta IPCONFIG /ALL
    Y en el cliente cuando está conectado también IPCONFIG /ALL

    Importante: Oculta las direcciones públicas

    Independientemente de los anterior a mí me está dando a pensar ya por otro lado. Es muy muy peligrosa la configuración que tienes sin ningún cortafuego "verdadero" entre el servidor e Internet, y daría pensar también que estás bajo ataques, cuidado con eso
    En el visor de sucesos, en el log de seguridad ¿no hay eventos de falla de inicio de sesión?

    Seguimos el lunes ... :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 12 de julio de 2016 14:30
    viernes, 8 de julio de 2016 22:02
    Moderador
  • Buen dia Guillermo e inicio de semana

    ok realizare este procedimiento que indicas y verificare lo de mi firewall, te envio pantallas

    lunes, 11 de julio de 2016 12:57
  • Buen dia Guillermo

    Aquí te envio las pantallas correspondientes sobre el ipconfig, que me solicitas

    martes, 12 de julio de 2016 16:02
  • Hay varias cosas para ver/revisar/corregir :)

    En la primera pantalla que supongo que es el IPCONFIG del cliente, debes ponerlo cuando está conectado a la VPN ya que el objetivo es ver qué DNS y GATEWAY le asigna. Al no estar conectado no hay mucho para ver

    En la segunda pantalla que interpreto es la del servido, hay una placa que tiene dirección IP en la red 169.254.0.0/16. Esta es una dirección no válida para una máquina que esté en una red de Dominio, corresponde a tener configurado que un DHCP le asigne configuración y no lo hace ninguno

    Siguiendo con esta pantalla, en otra placa tiene configurado como DNS alternativo a uno externo (8.8.8.8). Ninguna máquina de un Dominio debe tener configurado un DNS externo. Esto puede ser la causa del problema

    Como no haz renombrado las conexiones de red para poder identificarlas, revisa el enlace a la nota que puse antes

    Otro problema por el cual no te puedes conectar: en ambos sitios se está usando la misma red 192.168.1.0/24 y no hay forma de enrutar tráfico entre dos redes físicas diferentes, si para IP es la misma red

    Tienes que usar 3 redes diferentes:

    - La de tu casa o lugar de conexión
    - La de la empresa
    - La de la VPN (esta puede que no, pero es más complicado)

    Un servidor VPN debe tener por lo menos dos placas de red "bien configuradas", por si te sirve y por seguridad, revisa la nota sobre el tema de no registrar en DNS y deshabilitar NetBIOS sobre TCP/IP en la placa externa, aunque esto es sólo por seguridad

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 12 de julio de 2016 18:38
    Moderador
  • Guillermo

    De acuerdo a lo que me comentas realice las configuración de nuevo como lo indica el link que me enviaste y utilice al principio, estuve realizando yo las modificaciones en ponerle el 8.8.8.8 solo para realizar pruebas porque como ves cuando hago la vpn tampoco salgo a internet, te envio las pantallas tal como esta en e link realizando otra vez las pruebas, la conexión la estoy haciendo desde un modem que no esta dentro de la empresa es un modem que es como si estuvieras en casa puede que a lo mejor por ser eso este dando ese rango de ip y este afectando a los servidores que yo manejo dentro, también realizce el cambio de nombre de tarjetas otra vez como se indican

    solo indicame si la configuración de la tarjeta están configuradas bien motivo por el cual es como lo indica el link

    [Guillermo] Imagen eliminada para evitar problemas de seguridad


    martes, 12 de julio de 2016 20:10
  • De acuerdo a lo que me comentas, la ip con rango 169.254.XX.XX, esa es una tarjeta física que se encuentra en mi servidor, en realidad esa ip la esta tomando por default motivo por el cual no es utilizable, esta tarjeta de red esta conectado el cable de red que va directo al equipo de alestra el cual no pasa por el firewall que tengo por que también la utilizo en un servidor de exchange, efectivamente los rangos de mi servidores empiezan con 192.168.1.XX y 192.168.0.XX,

    En cuanto yo realizo la conexión vpn y se conecta pero no me da acceso a los servidores y ni a internet estoy viendo que en la configuración del IPV4 pestaña general esta una tarjeta que die  (interno) el cual es donde se indica que pondría una ip que seria la 172.16.0.1 a la 10 para cuando se realice la conexión vpn en el cliente

    aunque no le ponga ip me pone una ip por default, si yo le pongo un rango de 10 ip y al hacer mi vpn conectando me da una ip en la conexión de vpn de 172.16.0.2 (como ejemplo) lo cual me sigue sin permitir entrar a internet y sin acceso a los servidores

    martes, 12 de julio de 2016 20:49
  • La red 169.254.0.0/16 no se puede tener ni usar en ambiente de Dominio, corresponde a APIPA (Automatic Private IP Address Assignement)

    Un servidor VPN debe tener dos interfaces de red configuradas adecuadamente, una en la red interna y otra en la externa

    No especificas la máscara de red usada, pero si es 255.255.255.0 entonces los equipos que están en 192.168.1.0 y 192.168.0.0 están en redes IP diferentes y es totalmente lógico que no puedan "verse" salvo que un Router interconecte las dos redes

    La conexión interna no tiene que tener Puerta de Enlace, eso deber ser sólo en la externa

    En la interfaz interna tiene configurada puerta de enlace remota, eso además de ser incorrecto, cuando lo configuras el sistema avisa

    Borro una de tus capturas de pantalla, porque se ve la dirección IP pública y eso te está poniendo en serio riesgo de seguridad

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 12 de julio de 2016 22:53
    Moderador
  • buen día Guillermo

    ok entiendo tratare de no poner información y lo menos posible y hacerme entender mejor, de acuerdo a los procedimientos, lo mejor es que tendría que volver a empezar la configuración del servidor, motivo por el cual lo estoy haciendo como se indica en el link que me haces envió digo yo estuve poniendo mascara porque hacer pruebas motivo por el cual tuve que regresar todo como estaba pero sigo sin poder realizar conexiones a los equipos, en cuestión a las ip anteriormente de tener este problema si podia conectarme a los dos segmentos que contienen mis servidores

    no se porque

    por otro lado tengo un equipo de cisco motivo por el cual hace mis conexiones con mis vlan ´s en cada piso

    hare lo que me indicas de que como deben quedar y estare informante, gracias por la ayuda que me estas recibiendo

    miércoles, 13 de julio de 2016 13:28
  • Todo lo que sea direccionamiento IP privado no hay problemas en ponerlo acá o en cualquier sitio público, lo que no hay que poner nunca es el direccionamiento IP público

    Si tienes una parte de los equipos en la subred IP 192.168.0.0 / 255.255.255.0 y otros equipos en la 192.168.1.0 / 255.255.255.0 entonces tienes dos redes IP diferentes, y la única forma de que los equipos de una red puedan conectarse a la otra es pasando por un Router, o un equipo que haga el enrutamiento

    Por otra parte, si te animas a hacer toda la configuración nuevamente desde el principio, como indica el enlace que puse antes, garantizado que funciona. Aunque de todas formas tienes que solucionar el tema de las dos redes internas diferentes, quizás la solución sea que el servidor VPN tenga interfaces a las dos redes internas, depende de tu configuración

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 13 de julio de 2016 15:38
    Moderador
  • Guillermo

    Te comento asi rápidamente, las cofiguraciones de servidores desde que yo llegue están en 192.168.0.XX/255.255.254.0, esta misma mascara es para el rango 192.168.1.XX, como te comente tengo un cisco el cual es el que administra mis vlan´s,

    y en este caso no entendí en tener interfaces diferentes en el servidor vpn

    miércoles, 13 de julio de 2016 15:46
  • Si las máscaras de red en todas las máquinas es 255.255.254.0, y no la normalmente usada (255.255.255.0), entonces no habría problema porque en ese caso están todos en la misma red IP

    Y entonces no necesitas lo de tener 2 interfaces internas. Alcanza con una Externa y otra Interna

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 13 de julio de 2016 17:41
    Moderador
  • Buen dia Guillermo

    Realice otra vez el servidor de acuerdo a las indicaciones en en link, puedo hacer bien la conexión vpn sin problema, pero no me permite conectar a los servidores ni acceso a internet, en el servidor si tengo acceso a internet desde la interface de red externa

    cual seria el problema ??

    miércoles, 13 de julio de 2016 21:28
  • Comienza por favor una nueva pregunta ya que en esta hemos solucionado el problema de la conexión VPN

    Para poder ayudarte anota el IPCONFIG /ALL en el cliente y en el servidor. Además indica que Puerta de Enlace tienen los servidores a los que no puedes conectarte

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 14 de julio de 2016 10:10
    Moderador